IPSec协议(包括AH和ESP)既可用来保护一个完整的IP载荷,亦可用来保护某个IP载荷的上层协议。这两方面的保护分别是由IPSec两种不同的模式来提供的。其中,传送模式用来保护上层协议;而通道模式(隧道模式)用来保护整个IP数据报。两种IPSec协议(AH和ESP)均能同时以传送模式或通道模式工作。
传送模式。在IPv4中,传输模式的IPSec头插入到IP报头之后、高层传输协议(如TCP、UDP)之前。在IPv6中,该模式的IPSec头出现在IP头及IP扩展头之后、高层传输协议之前。
通道模式。要保护的整个IP包都需封装到另一个IP数据报里,同时在外部与内部IP头之间插入一个IPSec头。外部IP头指明进行IPSec处理的目的地址,内部IP头指明最终的目的地址。若构成一个安全联盟的两个终端中至少有一个是安全网关(而不再是主机),则这个安全联盟就必须采用隧道模式。在隧道模式下,IPSec报文要进行分段和重组操作,并且可能要再经过多个安全网关才能到达安全网关后面的目的主机。
图12.2 传送模式与通道模式保护的数据包